Google alerta sobre golpes de criptomoedas usando kit de exploração de iPhone ‘novo e poderoso’

Pesquisadores de ameaças do Google dizem ter descoberto um novo kit de exploração direcionado a usuários de iPhone da Apple, com o objetivo de roubar frases-semente de carteiras de criptomoedas. 

O kit, chamado “Coruna” pelos seus desenvolvedores, tem como alvo iPhones com versões do iOS de 13.0 até 17.2.1. Ele possui “cinco cadeias completas de exploração iOS e um total de 23 exploits”, incluindo alguns que eram anteriormente desconhecidos pelo público, informou o Grupo de Inteligência de Ameaças do Google (GTIG) em um relatório publicado na quarta-feira.

O grupo informou que descobriu o kit pela primeira vez em fevereiro de 2025 e desde então rastreou seu uso por um grupo de espionagem russo suspeito contra ucranianos, e posteriormente em sites falsos de criptomoedas chineses com o objetivo de roubar criptoativos.

GTIG afirmou que o kit não funciona com a versão mais recente do iOS e pediu aos usuários de iPhone que atualizem seus dispositivos para o software mais recente. Caso isso não seja possível, os usuários devem colocar o telefone no “Modo de Bloqueio”, que a Apple diz ser capaz de contrariar ataques sofisticados.

Kit mira criptomoedas por meio de sites falsos

GTIG informou que encontrou partes de um exploit de iOS em fevereiro de 2025, no qual um cliente de uma empresa de vigilância usou JavaScript para identificar o aparelho e entregar o exploit apropriado.

Mais tarde naquele ano, encontrou o mesmo framework JavaScript escondido em diversos sites ucranianos comprometidos, sendo “entregue apenas para usuários de iPhone selecionados de uma geolocalização específica”.

GTIG relatou que achou o mesmo framework em dezembro “em um grande conjunto de sites falsos chineses, principalmente relacionados a finanças”, incluindo um que imitava a exchange de criptomoedas WEEX.

Quando um usuário acessa esses sites com um dispositivo iOS, o framework entrega o kit de exploração e procura informações financeiras, incluindo análise de textos com frases-semente e palavras-chave como “frase de backup” ou “conta bancária”.

Relacionado: Hackers ‘ClickFix’ se passam por VCs e sequestram QuickLens em ataques recentes de criptomoedas

O kit também busca por aplicativos populares de criptomoedas, incluindo Uniswap e MetaMask, para extrair criptoativos ou informações sensíveis.

Origem de Coruna baseada na inteligência dos EUA é debatida

O GTIG não divulgou o nome do cliente da empresa de vigilância de onde teria se originado o kit de exploits, mas a empresa de segurança móvel iVerify disse ao WIRED que ele pode ter sido desenvolvido ou adquirido pelo governo dos EUA.

“É altamente sofisticado, gastou-se milhões de dólares em seu desenvolvimento, e apresenta características de outros módulos que já foram publicamente atribuídos ao governo dos EUA”, disse Rocky Cole, cofundador da iVerify ao WIRED.

“Este é o primeiro exemplo que vimos de ferramentas muito provavelmente do governo dos EUA — com base no que o código nos mostra — saindo de controle e sendo usadas tanto por nossos adversários quanto por grupos de cibercriminosos.”

No entanto, o pesquisador principal de segurança da Kaspersky disse ao The Register que a empresa de cibersegurança não viu “nenhuma evidência de reutilização real de códigos nos relatórios publicados para justificar a atribuição de Coruna aos mesmos autores”.

Revista: Conheça os detetives de criptomoedas onchain que combatem crimes melhor do que a polícia